"MagicDot" Windowsin heikkous sallii etuoikeutettoman Rootkit-toiminnan

"MagicDot" Windowsin heikkous mahdollistaa etuoikeutettoman Rootkit-toiminnan

Aikaleima: 19. huhtikuuta 2024 5
"MagicDot" Windowsin heikkous mahdollistaa etuoikeutettoman Rootkit-toiminnan PlatoBlockchain Data Intelligencen. Pystysuuntainen haku. Ai.

BLACK HAT ASIA – Singapore – Tunnettu ongelma, joka liittyy Windowsin DOS-NT-polun muuntoprosessiin, avaa yrityksille merkittävän riskin, koska se antaa hyökkääjille mahdollisuuden hankkia rootkit-kaltaisia ​​jälkikäyttöominaisuuksia tiedostojen, hakemistojen ja prosessien piilottamiseen ja esiintymiseen.

Näin kertoo SafeBreachin tietoturvatutkija Or Yair, joka hahmotteli ongelmaa täällä tällä viikolla pidetyssä istunnossa. Hän myös kuvaili neljä erilaista ongelmaan liittyvää haavoittuvuutta, jotka hän nimeltään "MagicDot” – mukaan lukien vaarallinen koodin etäsuoritusvirhe, joka voidaan laukaista yksinkertaisesti purkamalla arkisto.

Pisteet ja välilyönnit DOS-NT-polun muuntamisessa

MagicDot-ongelmaryhmä on olemassa, koska Windows muuttaa DOS-polut NT-poluiksi.

Kun käyttäjät avaavat tiedostoja tai kansioita tietokoneissaan, Windows suorittaa tämän viittaamalla polkuun, jossa tiedosto on olemassa. normaalisti se on DOS-polku, joka noudattaa muotoa "C:UsersUserDocumentsexample.txt". Erilaista taustalla olevaa toimintoa nimeltä NtCreateFile käytetään kuitenkin tiedoston avaamiseen, ja NtCreateFile pyytää NT-polkua eikä DOS-polkua. Siten Windows muuntaa käyttäjille näkyvän tutun DOS-polun NT-poluksi, ennen kuin kutsuu NtCreateFileä toiminnon mahdollistamiseksi.

Hyödynnettävä ongelma johtuu siitä, että Windows poistaa automaattisesti pisteet DOS-polulta muunnosprosessin aikana sekä ylimääräiset välilyönnit lopussa. Joten DOS-polut, kuten nämä:

  • C:exampleexample.   

  • C:exampleexample… 

  • C:exampleexample    

kaikki muunnetaan muotoon "??C:exampleexample" NT-poluksi.

Yair havaitsi, että tämä virheellisten merkkien automaattinen poistaminen voisi antaa hyökkääjille mahdollisuuden luoda erityisesti muotoiltuja DOS-polkuja, jotka muunnetaan heidän valitsemaansa NT-poluiksi, joita voitaisiin sitten käyttää joko tiedostojen tekemiseen käyttökelvottomiksi tai haitallisen sisällön ja toimintojen piilottamiseen.

Etuoikeudettoman rootkitin simulointi

MagicDot-ongelmat luovat ennen kaikkea mahdollisuuden useisiin hyväksikäytön jälkeisiin tekniikoihin, jotka auttavat koneen hyökkääjiä säilyttämään varkain.

On esimerkiksi mahdollista lukita haitallinen sisältö ja estää käyttäjiä, jopa järjestelmänvalvojia, tutkimasta sitä. "Asettamalla yksinkertaisen pisteen haitallisen tiedostonimen loppuun tai nimeämällä tiedoston tai hakemiston vain pisteillä ja/tai välilyönneillä, voisin tehdä kaikista normaalia API:a käyttävistä käyttäjäavaruusohjelmista niiden ulottumattomissa… käyttäjät ei voi lukea, kirjoittaa, poistaa tai tehdä mitään muuta niiden kanssa", Yair selitti istunnossa.

Sitten siihen liittyvässä hyökkäyksessä Yair havaitsi, että tekniikkaa voitiin käyttää tiedostojen tai hakemistojen piilottamiseen arkistotiedostojen sisällä.

"Lopetin yksinkertaisesti tiedostonimen arkistossa pisteellä estääkseni Exploreria listaamasta tai purkamasta sitä", Yair sanoi. "Tämän seurauksena pystyin sijoittamaan haitallisen tiedoston viattomaan zip-tiedostoon - se, joka käytti Exploreria arkiston sisällön katseluun ja purkamiseen, ei voinut nähdä tiedoston olemassaoloa sisällä."

Kolmas hyökkäystapa sisältää haitallisen sisällön peittämisen esittämällä laillisia tiedostopolkuja.

"Jos siellä oli vaaraton tiedosto nimeltä "hyvälaatuinen", pystyin [käyttämään DOS-NT-polun muuntamista] luomaan haitallisen tiedoston samaan hakemistoon [jota kutsutaan myös] hyvänlaatuiseksi", hän selitti ja lisäsi, että sama lähestymistapa. voidaan käyttää esiintymään kansioissa ja jopa laajemmissa Windows-prosesseissa. "Tämän seurauksena, kun käyttäjä lukee haitallisen tiedoston, alkuperäisen harmittoman tiedoston sisältö palautettaisiin sen sijaan", jolloin uhri ei ole viisaampi, että hän todella avasi haitallista sisältöä.

Kaiken kaikkiaan MagicDot-polkujen manipulointi voi antaa vastustajille rootkit-tyyppisiä kykyjä ilman järjestelmänvalvojan oikeuksia, selitti Yair, joka julkaisi yksityiskohtaiset tekniset huomautukset hyökkäysmenetelmistä istunnon yhteydessä.

"Huomasin voivani piilottaa tiedostoja ja prosesseja, piilottaa tiedostoja arkistoissa, vaikuttaa esihakutiedostojen analysointiin, saada Task Managerin ja Process Explorerin käyttäjät ajattelemaan, että haittaohjelmatiedosto on Microsoftin julkaisema varmennettu suoritettava tiedosto, poistaa Process Explorerin käytöstä palvelunestolla (DoS). haavoittuvuus ja paljon muuta", hän sanoi - kaikki ilman järjestelmänvalvojan oikeuksia tai kykyä suorittaa koodia ytimessä ja ilman puuttumista tietoja hakevien API-kutsujen ketjuun.

"On tärkeää, että kyberturvallisuusyhteisö tunnistaa tämän riskin ja harkitsee etuoikeutettujen rootkit-tunnistustekniikoiden ja -sääntöjen kehittämistä", hän varoitti.

Sarja "MagicDot"-haavoittuvuuksia

Tutkiessaan MagicDot-polkuja Yair onnistui myös paljastamaan neljä erilaista taustalla olevaan ongelmaan liittyvää haavoittuvuutta, joista kolme Microsoftin korjauksen jälkeen.

Yhden koodin etäsuorittamisen (RCE) haavoittuvuus (CVE-2023-36396, CVSS 7.8) Windowsin uudessa purkulogiikassa kaikille äskettäin tuetuille arkistotyypeille sallii hyökkääjien luoda haitallisen arkiston, joka kirjoittaa haluamaansa etätietokoneeseen sen purkamisen jälkeen, mikä johtaa koodin suorittamiseen.

"Periaatteessa oletetaan, että lataat arkiston omallesi GitHub-arkisto mainostaa sitä hienona ladattavana työkaluna", Yair kertoo Dark Readingille. "Ja kun käyttäjä lataa sen, se ei ole suoritettava tiedosto, vaan arkisto puretaan, mitä pidetään täysin turvallisena toimenpiteenä ilman turvallisuusriskejä. Mutta nyt purku itsessään pystyy suorittamaan koodia tietokoneellasi, ja se on vakavasti väärin ja erittäin vaarallista."

Toinen virhe on EoP (Elevation of Privilege) -haavoittuvuus (CVE-2023-32054, CVSS 7.3), jonka avulla hyökkääjät voivat kirjoittaa tiedostoihin ilman oikeuksia manipuloimalla edellisen version palautusprosessia varjokopiosta.

Kolmas bugi on Process Explorerin etuoikeutettu DOS anti-analyysivirhettä varten, jolle on varattu CVE-2023-42757. Tarkemmat tiedot ovat myöhemmin. Ja neljäs virhe, myös EoP-ongelma, sallii etuoikeutettujen hyökkääjien poistaa tiedostoja. Microsoft vahvisti, että virhe johti "odottamattomaan toimintaan", mutta ei ole vielä julkaissut CVE:tä tai korjausta sille.

"Luon demokansion sisään kansion nimeltä… ja sisällä kirjoitan tiedoston nimeltä c.txt", Yair selitti. "Sitten kun järjestelmänvalvoja yrittää poistaa… kansio, koko esittelykansio poistetaan sen sijaan."

Mahdollisesti laajemmat "MagicDot"-vaikutukset

Vaikka Microsoft korjasi Yairin erityisiä haavoittuvuuksia, DOS-NT-polun automaattinen pisteiden ja välilyöntien poistaminen jatkuu, vaikka se onkin haavoittuvuuksien perimmäinen syy.

"Tämä tarkoittaa, että tämän ongelman avulla voi löytyä paljon enemmän mahdollisia haavoittuvuuksia ja hyödyntämisen jälkeisiä tekniikoita", tutkija kertoo Dark Readingille. "Tämä ongelma on edelleen olemassa ja voi johtaa moniin muihin ongelmiin ja haavoittuvuuksiin, jotka voivat olla paljon vaarallisempia kuin ne, joista tiedämme."

Hän lisää, että ongelmalla on seurauksia Microsoftin ulkopuolella.

"Uskomme, että vaikutukset eivät koske vain Microsoft Windowsia, joka on maailman laajimmin käytetty työpöytäkäyttöjärjestelmä, vaan myös kaikille ohjelmistotoimittajille, joista useimmat sallivat myös tunnettujen ongelmien jatkuvan ohjelmistonsa versiosta toiseen", hän varoitti. esityksessään.

Samaan aikaan ohjelmistokehittäjät voivat tehdä koodistaan ​​turvallisemman tämäntyyppisiä haavoittuvuuksia vastaan ​​käyttämällä NT-polkuja DOS-polkujen sijaan, hän huomautti.

"Useimmat korkean tason API-kutsut Windowsissa tukevat NT-polkuja", Yair sanoi esityksessään. "NT-polkujen käyttäminen välttää muunnosprosessin ja varmistaa, että annettu polku on sama polku, jota todellisuudessa käytetään."

Yrityksille tietoturvatiimien tulisi luoda havaintoja, jotka etsivät vääriä pisteitä ja välilyöntejä tiedostopoluista.

"Näille on olemassa melko helppoja tunnistuksia, joita voit kehittää, etsiä tiedostoja tai hakemistoja, joissa on perässä pisteitä tai välilyöntejä, koska jos löydät ne tietokoneeltasi, se tarkoittaa, että joku teki sen tarkoituksella, koska se ei ole se on helppo tehdä”, Yair kertoo Dark Readingille. "Tavalliset käyttäjät eivät voi luoda tiedostoa, jonka lopussa on piste tai välilyönti, Microsoft estää sen. Hyökkääjien on käytettävä a alempi API joka on lähempänä ydintä ja tarvitsee asiantuntemusta tämän saavuttamiseksi."

Aikaleima:

Lisää aiheesta Pimeää luettavaa